第二次实验报告:使用Packet Tracer分析应用层协议

姓名:黄声钦

学号:201821121077 

班级:计算1813

1 实验目的

熟练使用Packet Tracer工具。分析抓到的应用层协议数据包,深入理解应用层协议,包括语法、语义、时序。

2 实验内容

使用Packet Tracer,正确配置网络参数,抓取应用层协议的数据包并分析,协议包含DNS、FTP, DHCP, stmp, pop3。步骤包含:

  • 建立网络拓扑结构
  • 配置参数
  • 抓包
  • 分析数据包

3. 实验报告

(1)建立网络拓扑结构

第二次实验报告:使用Packet Tracer分析应用层协议_第1张图片

 

 

3.1 DNS

(2)配置参数

 PC和SERVER的IP配置如下:

第二次实验报告:使用Packet Tracer分析应用层协议_第2张图片

 

 

 第二次实验报告:使用Packet Tracer分析应用层协议_第3张图片

 

 

 

 server的DNS配置如下:

第二次实验报告:使用Packet Tracer分析应用层协议_第4张图片

 

 

 

(3)抓包并分析抓到的数据包

开始抓包:

第二次实验报告:使用Packet Tracer分析应用层协议_第5张图片

 

 

 第二次实验报告:使用Packet Tracer分析应用层协议_第6张图片

 

 

 

分析抓取到的数据包:

第二次实验报告:使用Packet Tracer分析应用层协议_第7张图片

 

 

 此图为OSI模型界面,OSI模型包含七个层次,图中显示了七个层次的数据,最后一行表示这是由dns客户端向dns服务器发送dns查询。

 

第二次实验报告:使用Packet Tracer分析应用层协议_第8张图片

 

 

 上图为传出pdu详细信息,这里先介绍IP段,各字段的意义如下图:

第二次实验报告:使用Packet Tracer分析应用层协议_第9张图片

 

 

 首先看出每一个IP地址是32bite

其中TTL代表生存时间,即为缓存时间,如果这一项为0,表示只能传输不能缓存,CHKSUM表示校验

 

接下来是UDP部分;

SRC/DEST PORT下的数字是源端口号和目的端口号,端口号的有效范围是从0到65535。一般来说,大于49151的端口号都代表动态端口。

DNS header:

各字段意义如下图:

第二次实验报告:使用Packet Tracer分析应用层协议_第10张图片

 

 

 

标识ID: 请求客户端设置的16位标示,服务器给出应答的时候会带相同的标示字段回来,这样请求客户端就可以区分不同的请求应答了。

标志:
QR 1个比特位用来区分是请求(0)还是应答(1)。

OPCODE 4个比特位用来设置查询的种类,应答的时候会带相同值,可用的值如下:

0 标准查询 (QUERY)

1 反向查询 (IQUERY)

2 服务器状态查询 (STATUS)

3-15 保留值,暂时未使用

AA 授权应答(Authoritative Answer) - 这个比特位在应答的时候才有意义,指出给出应答的服务器是查询域名的授权解析服务器。

注意因为别名的存在,应答可能存在多个主域名,这个AA位对应请求名,或者应答中的第一个主域名。

TC 截断(TrunCation) - 用来指出报文比允许的长度还要长,导致被截断。

RD 期望递归(Recursion Desired) - 这个比特位被请求设置,应答的时候使用的相同的值返回。如果设置了RD,就建议域名服务器进行递归解析,递归查询的支持是可选的。

RA 支持递归(Recursion Available) - 这个比特位在应答中设置或取消,用来代表服务器是否支持递归查询。

Z 保留值,暂时未使用。在所有的请求和应答报文中必须置为0。

RCODE 应答码(Response code) - 这4个比特位在应答报文中设置,代表的含义如下:

0 没有错误。

1 报文格式错误(Format error) - 服务器不能理解请求的报文。

2 服务器失败(Server failure) - 因为服务器的原因导致没办法处理这个请求。

3 名字错误(Name Error) - 只有对授权域名解析服务器有意义,指出解析的域名不存在。

4 没有实现(Not Implemented) - 域名服务器不支持查询类型。

5 拒绝(Refused) - 服务器由于设置的策略拒绝给出应答。比如,服务器不希望对某些请求者给出应答,或者服务器不希望进行某些操作(比如区域传送zone transfer)。

6-15 保留值,暂时未使用。

问题数QDCOUNT 无符号16位整数表示报文请求段中的问题记录数。

资源记录数ANCOUNT 无符号16位整数表示报文回答段中的回答记录数。

授权资源记录数NSCOUNT 无符号16位整数表示报文授权段中的授权记录数。

额外资源记录数ARCOUNT 无符号16位整数表示报文附加段中的附加记录数。

请求报文DNS Query:

 

各字段分别为:查询名,查询类型,查询类

 

最后是响应报文:

第二次实验报告:使用Packet Tracer分析应用层协议_第11张图片

 

 

域名NAME 资源记录包含的域名

类型TYPE 2个字节表示资源记录的类型,指出RDATA数据的含义

类CLASS 2个字节表示RDATA的类

生存时间TTL 4字节无符号整数表示资源记录可以缓存的时间。0代表只能被传输,但是不能被缓存。

**资源数据长度URDLENGT**H 2个字节无符号整数表示RDATA的长度

资源数据RDATA 不定长字符串来表示记录,格式根TYPE和CLASS有关。比如,TYPE是A,CLASS 是 IN,那么RDATA就是一个4个字节的ARPA网络地址。

3.2 FTP

先在server端开启ftp服务

第二次实验报告:使用Packet Tracer分析应用层协议_第12张图片

 

 

然后在PC端链接ftp服务:

第二次实验报告:使用Packet Tracer分析应用层协议_第13张图片

 

 

抓取数据包;

第二次实验报告:使用Packet Tracer分析应用层协议_第14张图片

 

 以最后一个数据包为例:

第二次实验报告:使用Packet Tracer分析应用层协议_第15张图片

 

 首先分析TCP段各字段:

源端口号/目的端口号: 表示数据从哪个进程来, 到哪个进程去.
32位序号:
4位首部长度: 表示该tcp报头有多少个4字节(32个bit)
6位保留: 顾名思义, 先保留着, 以防万一
6位标志位
16位窗口大小:
16位检验和: 由发送端填充, 检验形式有CRC校验等. 如果接收端校验不通过, 则认为数据有问题. 此处的校验和不光包含TCP首部, 也包含TCP数据部分.
16位紧急指针: 用来标识哪部分数据是紧急数据.
选项和数据暂时忽略

 

最后的FTP段230表示登录成功。

3.3 DHCP

开启服务端的DHCP:

第二次实验报告:使用Packet Tracer分析应用层协议_第16张图片

 

 

PC端由静态改成DHCP:

 

 开始抓包;

第二次实验报告:使用Packet Tracer分析应用层协议_第17张图片

 

 

 

点开最后一个数据包:

第二次实验报告:使用Packet Tracer分析应用层协议_第18张图片

 

 

 

解释DHCP各字段的含义:

OP:
若是 client 送给 server 的封包,设为 1 ,反向为 2。HTYPE
硬件类别,Ethernet 为 1。
HLEN:
硬件地址长度, Ethernet 为 6。
HOPS:
若封包需经过 router 传送,每站加 1 ,若在同一网内,为 0。
TRANSACTION ID:
DHCP REQUEST 时产生的数值,以作 DHCPREPLY 时的依据。
SECONDS:
Client 端启动时间(秒)。
FLAGS:
从 0 到 15 共 16 bits ,最左一 bit 为 1 时表示 server 将以广播方式传送封包给 client ,其余尚未使用。
ciaddr:
要是 client 端想继续使用之前取得之 IP 地址,则列于这里。
yiaddr:
从 server 送回 client 之 DHCP OFFER 与 DHCPACK封包中,此栏填写分配给 client 的 IP 地址。
siaddr:
若 client 需要透过网络开机,从 server 送出之 DHCP OFFER、DHCPACK、DHCPNACK封包中,此栏填写开机程序代码所在 server 之地址。
giaddr:
若需跨网域进行 DHCP 发放,此栏为 relay agent 的地址,否则为 0。
chaddr:
Client 之硬件地址。
sname:
Server 之名称字符串,以 0x00 结尾。
file:
若 client 需要透过网络开机,此栏将指出开机程序名称,稍后以 TFTP 传送。
options:
允许厂商定议选项(Vendor-Specific Area),以提供更多的设定信息(如:Netmask、Gateway、DNS、等等)。其长度可变,同时可携带多个选项,每一选项之第一个 byte 为信息代码,其后一个 byte 为该项数据长度,最后为项目内容。CODE LEN VALUE 此字段完全兼容 BOOTP ,同时扩充了更多选项。其中,DHCP 封包可利用编码为 0x53 之选项来设定封包类别。

3.4 smtp和pop3

先设置好服务器的EMALL

第二次实验报告:使用Packet Tracer分析应用层协议_第19张图片

 

 

 

然后DNS增加两个域名和地址

第二次实验报告:使用Packet Tracer分析应用层协议_第20张图片

 

 

 

PC端的Configure Mail设置好:

第二次实验报告:使用Packet Tracer分析应用层协议_第21张图片

 

 

 

发送邮件:

 

 

 

第二次实验报告:使用Packet Tracer分析应用层协议_第22张图片

 

 

 

 

抓包:

 第二次实验报告:使用Packet Tracer分析应用层协议_第23张图片

 

查看数据包:

 

第二次实验报告:使用Packet Tracer分析应用层协议_第24张图片

 

 

 第二次实验报告:使用Packet Tracer分析应用层协议_第25张图片

 

 

 

参考资料:

[1] 结合Wireshark捕获分组深入理解TCP/IP协议栈
[2] 结合Wireshark捕获分组深入理解TCP/IP协议栈之HTTP协议

你可能感兴趣的:(第二次实验报告:使用Packet Tracer分析应用层协议)